• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 대선 결과 발표 후 이어진 러시아의 해킹 공격 2016.11.11

대선 불복하고 싶어 하는 네티즌들 노린 메일 제목들
대선 전부터 민주당 해킹한 러시아의 단체인 듯

[시큐리티월드 문가용 기자] 러시아의 사이버 스파이의 공격이 미국 대선 결과가 발표된 지 6시간 만에 가동되었다는 소식이다. 특히 미국의 씽크탱크 그룹과 민간 단체들을 겨냥한 대규모 스피어피싱 공격이 발견됐다. 이는 볼렉시티(Volexity)라는 보안 전문업체가 발견한 것으로, 공격을 주도한 그룹은 코지 베어(Cozy Bear), APT29, 코지듀크(CozyDuke) 등으로 알려진 러시아의 해킹 단체라고 한다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
width=500

볼렉시티는 “우리가 발견한 스피어피싱 캠페인만 해도 5가지였다”라며, “클린턴 재단(Clinton Foundation)으로부터 온 문서 혹은 eFax용 문서로 위장했다”고 설명했다. “공격자들은 구글 지메일 계정을 만들거나 하버드 대학의 예술과학학부의 이메일 계정을 훔쳐서 사용한 것으로 보입니다. 그 계정들을 통해 대규모로 이메일을 발송했으며, 국방 전문가, 국제문제 전문가, 정책 입법 기관 근무자나 사법 기관 근무자, 유럽 및 아시아 관련 학자 등을 겨냥한 것으로 보입니다.” 볼렉시티의 창립자인 스티븐 아데어(Steven Adair)의 설명이다.

2015년 7월부터 ‘듀크’라는 이름을 가진 해킹 단체 혹은 단체들은 씽크탱크들과 NGO들을 주로 공격해왔다고 아데어는 덧붙였다. “듀크는 매우 영리하고 깔끔한 공격을 하는 것으로 유명합니다. 백신 및 안티멀웨어 솔루션들을 우회하거나 무용지물로 만드는 데에 도가 튼 사람들이며, 데스크톱과 메일 게이트웨이 단계에서는 사실상 이들을 잡아내기가 힘듭니다.”

대선 결과가 발표된 이후 공격을 감행했던 이 단체는 안티백신의 매크로와 파워쉘(PowerShell) 스크립트를 주로 활용해 샌드박스 기능을 우회하는 것으로 알려져 있다. “또한 원격에서 메모리로 로딩되는 PNG 파일들에 백도어를 숨기고 스태노그래피 기술을 적용하니 탐지가 굉장히 힘듭니다. 이렇게 ‘숨어서 활동하는 데에’ 특화되어 있다는 건, 단발성 공격이 아니라 장기적인 관찰 및 스파잉 행위를 염두에 두었기 때문이 아닐까 합니다.”

대선 결과 이후의 공격답게 볼렉시티에서 처음 발견한 스피어피싱은 “미국 대선에 숨겨진 충격적인 진실” 등의 제목을 가지고 있었다. “마치 어떤 기관이나 단체에서 전자 전문을 사용한 것 같았습니다. 그리고 Zip 압축파일이 첨부되어 있었고, 이 압축파일에는 마이크로소프트의 .lnk 파일이 있었습니다. 여기에 파워쉘 명령어가 있는 것이죠. 이 파워쉘은 백신 솔루션이 설치되어 있는지 확인하고 백도어를 몰래 시스템에 깔기 시작합니다. 이 백도어를 파워듀크(PowerDuke)라고 저희는 부르는데, 굉장히 많은 기능을 가지고 있습니다. 전부 공격자들이 피해자를 관찰하고 시스템을 원격에서 통제하게끔 해주는 것들입니다.”

그 다음에 발견한 스피어피싱 캠페인에는 워드 문서가 주로 활용되었다. 이 워드 문서에는 악성 매크로가 있고, 이 매크로가 발동될 경우 백신 기능을 찾아 나선다. 이 메일의 발신지는 securefaxsolution@gmail.com으로 전자 팩스 관련 조직에서 보낸 것처럼 보인다. 이 공격의 경우에도 제목에는 선거와 관련된 내용이 들어 있다. “Incoming eFax : 선거 결과, 뒤집힐 가능성 높다”다.

하지만 가장 많이 발견된 건 세 번째 스피어피싱 공격으로 하버드 대학에서 온 것처럼 보이는 이메일이다. 메일 발송자는 하버드대학의 PDF 모바일 서비스(PDF Mobile Service)라고 스스로를 지칭하고 있는데 그런 단체는 존재하지 않는다. “그런데 이게 공격자의 실수인지 의도인지는 모르겠는데, PDF를 PFD라고 표기하고 있어요.” 제목은 “이번 선거, 왜 다시 해야 하는가?”이며, 악성 명령이 포함되어 있는 Zip 파일이 첨부되어 있다.

볼렉시티가 발견한 4, 5번째 스피어피싱 캠페인에는 클린턴 재단이 사칭되었다. 악성 매크로가 임베디드 된 워드 문서와(4번째 공격) LNK 파일이 임베디드된 Zip 파일이 첨부되어 있다(5번째 공격). 최순실게이트와 관련된 해킹 공격 시도가 한국에서 발견된 것과, 트럼프 당선으로 인한 스피어피싱 공격 시도가 겹치는 걸 보면, 해커들이 사회적 이슈들을 얼마나 적극적으로 활용하는지가 드러난다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 문가용 기자(globoan@boannews.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>